Настройка сервисной учетной записи ALD Pro
Аутентификация и авторизация в ALD Pro выполняются методом LDAP Bind, для чего необходимо создать сервисную учетную запись, которая:
-
не является POSIX-пользователем;
-
не имеет прав на вход в домен;
-
не отображается в портале управления;
-
используется только для чтения LDAP.
Наличие такой сервисной учетной записи необходимо для возможности подключения по LDAP-протоколу к каталоговой службе ALD Pro.
|
В данной инструкции приведена настройка сервисной учетной записи для ALD Pro версий 2.4 и 3.0. |
Для создания сервисной учетной записи подключитесь по SSH к контроллеру домена ALD Pro и выполните следующие шаги:
-
Создайте файл
ldap-bind.updateсо следующим содержимым:dn: uid=ldap-bind,cn=sysaccounts,<cn_attributes>,<dc_attributes> add:objectclass: account add:objectclass: simplesecurityobject add:uid: ldap-bind add:userPassword: <password> add:passwordExpirationTime: 20380119031407Z add:nsIdleTimeout: 0Здесь:
-
<cn_attributes>— дополнительные атрибуты общего имени (Common Name). Например:cn=etc. -
<dc_attrbitues>— атрибуты компонента доменного имени (Domain Component). Например:dc=ald,dc=company,dc=lan. -
<password>— пароль для учетной записи.
Более подробная информация об атрибутах приведена в разделе Атрибуты Distinguished Name. Описание параметров
-
dn— уникальный идентификатор записи пользователя в LDAP. -
add:objectclass: account— базовый класс для учетной записи. -
add:objectclass: simplesecurityobject— класс для хранения пароля и других атрибутов безопасности. -
add:uid: ldap-bind— уникальный идентификатор пользователя. -
add:userPassword— пароль для учетной записи. -
add:passwordExpirationTime— время истечения пароля. При значении20380119031407Zсрок действия пароля неограничен. -
add:nsIdleTimeout: 0— отключение таймаута простоя для учетной записи.
-
-
Добавьте пользователя, выполнив следующую команду:
kinit admin && ipa-ldap-updater ldap-bind.update
Была ли полезна эта страница?
